Hostinganbieter in Deutschland mit ADV und BSI Grundschutz

By April 16, 2015 Aktuelles 6 Comments
  • Für ein Hosting mit Kundendaten ist ein Vertrag zur Auftragsdatenverarbeitung nach BDSG § 11 nötig
  • Nur wenige der ‘großen’ Anbieter bieten einen solchen Service
  • Quality Hosting und Hetzner sind zu empfehlen

In einem aktuellen Projekt für den größten deutschen Fernverkehrsdienstleister, gilt es neben einer hochwertigen Programmierung auch einen professionellen Hostingpartner zu finden. Neben dem Thema Datensicherheit (z.B. Verschlüsselung, Hashing,.. ) spielt auch der Datenschutz eine wichtige Rolle. 

Grundlage für den ADV ist zunächst die Ermittlung des Schutzbedarfs. Es lässt sich aber sagen, dass sobald kommerziell personenbezogene Daten verarbeitet werden ein ADV notwendig ist (z.B. Onlineshop, Kundenportal, etc.).

 

NameADV* KonditionenReaktionszeit E-Mail Support ISO 27001 / BSI GrundschutzSitz des UnternehmensPreisKommentar
Quality Hosting++sehr schnell (< 1h)JaD-63571 GelnhausengutBieten leider nur Windows Server an.
netcup++schnell (< 3h)NeinD-76185 Karlsruhesehr gut
United Hoster?sehr schnell (<1h)separates RZ, teuerD-70599 StuttgartgutADV laut Aussage bei eigenen Servern nicht notwendig
Host Europe???D-51149 Kölnsehr gut
Hetzner0 (99,- p.A.)schnell ( < 3h )NeinD-91710 Gunzenhausensehr gutExtrem großer Anbieter.
PS-Webhosting0??teurer (ab 249,- p.M.)Bieten ausführliche Informationen auf deren Webseite
Strato++ (?)okay (< 2 Tage)neinD-10587 Berlinsehr gutMuster ADV liegt vor
rp-network.de ++ (?)mittel
ALL-INKL.com Neue Medien Münch++schnell (< 3h)NeinD-02742 Friedersdorfsehr gutNur managed server keine Rootserver
TWL-KOM ++schnell (< 3h)JaD-67059 Ludwigshafenmittel (±170,- p.M. Rootserver) Sehr netter telefonischer Server.
Amazon Web Services Germany GmbH++schnell (<3h)JaD-10961 Berlinsehr gutCloud Services als besonderes Plus; Prozess zum ADV geht über einen Accountmanager.

Quellen1)Die Tabelle basiert auf der Vorauswahl der Beratung Auditas. Jeder Hostinganbieter wurde allerdings einzeln kontaktiert und Ergebnisse geprüft und ergänzt.2)E-Mails, Telefonkontakt sowie Webseiten der jeweiligen Provider.

 

Sie halten die Tabelle für unvollständig? Schreiben Sie gern ein Kommentar!

Thema Cloud Computing: Amazon Web Services

Ganz im Gegensatz zu der weitverbreiteten Meinung ist Cloud Computing und Datensicherheit kein Ausschlusskriterium. Allerdings sind die zuständigen Unternehmen eher langsam unterwegs, sowie der Eindruck den man bei dem Kunden macht ist eher mäßig. Wir würden uns freuen, wenn zumindest Infrastructure as a Service Anbieter bald auch akzeptiert werden – Technik und Preis/Leitungsverhältnis ist natürlich außergewöhnlich.3)Hintergrundinformationen zum Thema ADV, SaaS und Cloud: Kanzlei Helbing: Verträge zur Auftragsdatenverarbeitung nach  § 11 BDSG.

Deren Technik sowie alle Zertifizierungen wären soweit. Amazon Webservices bietet BSI-Grundschutz, Auftragsdatenverarbeitungsverträge und zahlreiche weitere Zertifizerungen an (HIPAA, SOC 1/SSAE 16/ISAE 3402 (zuvor SAS70),SOC 2.SOC 3, PCI DSS Level 1, DIN ISO/IEC 27001, IT Grundschutz, FedRAMP(SM), DIACAP und FISMA, ITAR, FIPS 140-2, CSA, MPAA). 4)IT Grundschutz Compliance on Amazon Web Services, AWS Compliance Whitepaperhttp://aws.amazon.com/de/compliance/, Letzter Zugriff: 9.Juli 2015

Vertragsgestaltung

Die Hostinganbieter bieten in der Regel eigene Vertragsvorlagen an, die den Anbietern die Bearbeitung und damit Rechtsprüfung erleichtern. Daher ist es zu Empfehlen auf den Wunschhoster zuzugehen und sich deren Vorlage anzusehen. Der Branchenverband Bitkom hat allerdings auch ein Mustervertrag in der Version 4.0 veröffentlicht, der als Grundlage dienen darf.5) Bitkom ADV Musterverträge

Entscheidung

Diese Auswahl soll einen ersten Überblick geben. Ich freue mich sehr darüber, Ihre Auswahl und Kriterien kennenzulernen. Bitte schreiben Sie einen Kommentar.

References   [ + ]

1. Die Tabelle basiert auf der Vorauswahl der Beratung Auditas. Jeder Hostinganbieter wurde allerdings einzeln kontaktiert und Ergebnisse geprüft und ergänzt.
2. E-Mails, Telefonkontakt sowie Webseiten der jeweiligen Provider.
3. Hintergrundinformationen zum Thema ADV, SaaS und Cloud: Kanzlei Helbing: Verträge zur Auftragsdatenverarbeitung nach  § 11 BDSG.
4. IT Grundschutz Compliance on Amazon Web Services, AWS Compliance Whitepaperhttp://aws.amazon.com/de/compliance/, Letzter Zugriff: 9.Juli 2015
5. Bitkom ADV Musterverträge

6 Comments

  • Thomas Keser sagt:

    Hallo,

    zur Ergänzung Ihrer Liste:
    Name: WebhostOne GmbH
    ADV: kostenlos auf Anfrage
    Reaktionszeit: 2 – 4 Stunden gemäß SLA (reell: gerne testen, meist < 30 Minuten)
    Sitz: D-79713 Bad Säckingen

  • Christoph sagt:

    Hallo Simon,

    vielen Dank für die Aufstellung und für die Recherche. Zwei kleine Anmerkung:
    Für professionelles Hosting allein ist kein ADV-Vertrag nötig. Die Notwendigkeit kommt aus den Datenschutzgesetzen. Sofern keine personenbezogenen Daten verarbeitet werden oder die Verarbeitung nur zu persönlichen oder familiären Zwecken stattfindet, sind diese Gesetze nicht einschlägig.
    Das mit Cloud Computing und Datensicherheit als Ausschlusskriterium habe ich nicht verstanden. Was sollen diese Kriterien ausschließen? Ist es nicht viel mehr so, daß Cloud Computing einen großen Beitrag zur Sicherheit von Daten leisten kann, beispielsweise durch redundante Datenhaltung und dezentrale Speicherung? Dementgegen stehen jedoch durchaus einige Argumente, die sich ebenso auf dem Datenschutz und der Informationssicherheit begründen. Wesentlich ist meiner Ansicht nach die Ermittlung des Schutzbedarfs der zu verarbeitenden Daten und die Prüfung der technischen und organisatorischen Maßnahmen, die der Hoster ergriffen hat. Doch auch die Jurisdiktion ist wichtig: Innerhalb des EWRs gibt es vergleichbare gesetzliche Anforderungen. Viele Anbieter hosten aber in den USA, bzw. haben dort ihren Unternehmenssitz. Sie unterliegen der US-Rechtsprechung, die mit deutschem Datenschutzrecht nicht zu vereinbaren ist.

    Ich finde es gut, daß Du das Thema Datenschutz in Deine Erwägungen aufnimmst.

    Viele Grüße, Christoph

    • Fakir sagt:

      Hallo Christoph,
      vielen Dank für das ausführliche Feedback. ggf. habe ich mich da nicht deutlich genug ausgedrückt:

      “…Cloud Computing und Datensicherheit [ist] kein Ausschlusskriterium..”

      Tatsächlich bin ich großer Unterstützer der Cloudservices und bin froh, dass Unternehmen wie Amazon Webservices und Microsoft den Deutschen Markt nun entsprechend angehen und lokale Unternehmen gründen. Gerade AWS mit Datenzentrum in Frankfurt wird interessant. Trotzdem liegt generell noch breite Skepsis bei den Anwendern und Kunden im Umgang mit Cloud. Hier hat die Presse und Fachliteratur nachzubessern.

  • Alex sagt:

    Wie sieht es den mit amerikanischen WebHostern aus???
    Ich habe nämlich den WebHoster InMotion Hosting und habe vor demnächst einpaar kommerzielle Projekte zu starten.
    Kann man auch mit US WebHostern eine ADV abschließen??
    Und wenn nicht wie sieht es dann überhaupt aus?, was müsste man tun damit man
    sich trotzdem im rechtssicherem Raum bewegt ???

    • Fakir sagt:

      Hallo Alex,

      für diesen Zweck gab es bisher die ‘Safe-Harbour’-Regelung. Leider wurde diese im Oktober 2015 als ungültig erklärt. Zur Zeit wird an dem Nachfolger ‘EU-US Privacy Shield’ gearbeitet.

      Daher ist Stand heute kein Hosting bei US Anbietern rechtssicher möglich.

      Grüße

      Simon Fakir

Leave a Reply